共計(jì) 2880 個(gè)字符,預(yù)計(jì)需要花費(fèi) 8 分鐘才能閱讀完成。
本篇內(nèi)容主要講解“Ubuntu 中怎么使用 iptables 防火墻”,感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)。下面就讓丸趣 TV 小編來帶大家學(xué)習(xí)“Ubuntu 中怎么使用 iptables 防火墻”吧!
iptables 是整合在 Linux 操作系統(tǒng)中的防火墻軟件,絕大部分 Ubuntu 發(fā)行版都預(yù)裝了 iptables。在一些非默認(rèn)安裝的 Ubuntu 系統(tǒng)或者容器環(huán)境中,可能沒有預(yù)裝 iptables,我們可以通過下面的命令來安裝。
sudo apt-get install iptables iptables-persistent安裝 iptables 之后,系統(tǒng)會(huì)提示我們是否保存當(dāng)前防火墻規(guī)則。如果我們要設(shè)置自己的防火墻規(guī)則,這時(shí)可以不用保存。
端口測(cè)試工具
我們可以使用以下工具來檢測(cè)端口是否開啟或關(guān)閉,用來測(cè)試 iptables 是否生效。
客戶端測(cè)試工具(Windows 環(huán)境):
telnet [服務(wù)器 IP] [端口號(hào)]服務(wù)端測(cè)試工具(Linux 系統(tǒng)):
sudo netstat -tulpniptables 的語(yǔ)法規(guī)則
sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT-A INPUT:添加一個(gè) INPUT 類型的規(guī)則。最常見的規(guī)則類型有三種,分別是 INPUT、OUTPUT 和 PREROUTING。
-p tcp:設(shè)置這條規(guī)則的協(xié)議為 TCP 協(xié)議。其他支持的協(xié)議還有 udp、icmp 和 all。
-m tcp:使用 tcp 模塊。iptables 通過模塊來擴(kuò)展功能特性,有些常用模塊是 iptables 預(yù)裝的,比如 geoip 模塊。
–dport 22:雙橫線 – 表示為前面使用的模塊的更多選項(xiàng)。在這個(gè)示例里,我們?cè)O(shè)置 tcp 模塊只應(yīng)用于 22 端口。
-m geoip:使用 geoip 模塊。這個(gè)模塊可以控制來自某個(gè)國(guó)家的網(wǎng)絡(luò)請(qǐng)求。
–src-cc PE:這個(gè)選項(xiàng)是讓 geoip 模塊限制從秘魯?shù)木W(wǎng)絡(luò)請(qǐng)求。PE 是秘魯?shù)膰?guó)家編碼,這里可以替換成其他國(guó)家編碼。
-j ACCEPT:告訴 iptables 對(duì)滿足上述條件的請(qǐng)求如何處理。ACCEPT(接受)、ERJECT(拒絕)和 DROP(丟棄)是三種常用的處理方式。
iptables 的基本命令
查看當(dāng)前規(guī)則:
sudo iptables -L刪除某條規(guī)則(- D 表示刪除):
sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT清空當(dāng)前規(guī)則
sudo iptables -F只清空 OUTPUT 類型的規(guī)則:
sudo iptables -F OUTPUT創(chuàng)建 iptables 規(guī)則
在 eth0 接口允許 SSH 連接:
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT注:如果要應(yīng)用于所有網(wǎng)絡(luò)接口,請(qǐng)刪除 -i eth0 指令。
允許特定 IP 進(jìn)行 SSH 連接(以 10.0.3.1 為例):
sudo iptables -A INPUT -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT設(shè)置默認(rèn)規(guī)則:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT說明:
-P INPUT DROP:表示丟棄所有流入請(qǐng)求,即無法訪問云服務(wù)器上的任何服務(wù),如 Apache、SQL 等。
-P FORWARD DROP:表示丟棄所有轉(zhuǎn)發(fā)請(qǐng)求。
-P OUTPUT ACCEPT:表示接受所有流出請(qǐng)求。
接受所有的回環(huán)流量(推薦設(shè)置):
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT保存 iptables 規(guī)則
使用以下命令保存并加載 iptables 規(guī)則:
sudo netfilter-persistent save
sudo netfilter-persistent reload在容器環(huán)境中,上面的 netfilter-persistent 很可能無法生效,需要重新設(shè)置一下 iptables。請(qǐng)執(zhí)行以下命令重新配置 iptables 安裝包:
sudo dpkg-reconfigure iptables-persistent設(shè)置流出請(qǐng)求
允許 DNS 查詢:
sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT使用 state 模塊接受相關(guān)的和已建立的請(qǐng)求:
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT接受端口請(qǐng)求(如 80 端口):
sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT其他常見服務(wù)和端口:
服務(wù)協(xié)議端口 FTPTCP20 21HTTPSTCP443DHCPTCP67NTPTCP123 更多有用的規(guī)則
允許 Ping:
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT端口轉(zhuǎn)發(fā)(把來自 2200 端口的請(qǐng)求轉(zhuǎn)發(fā)給 10.0.3.21:22,多用于容器場(chǎng)景):
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22創(chuàng)建 SSH 永久連接,阻止未經(jīng)允許的 SSH 登錄請(qǐng)求:
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP到此,相信大家對(duì)“Ubuntu 中怎么使用 iptables 防火墻”有了更深的了解,不妨來實(shí)際操作一番吧!這里是丸趣 TV 網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!
